#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи отследили сетевые ресурсы хакерской группы C2, начав с IP-адреса C2 и информации о файлах, опубликованных в Twitter, расширив свое расследование с помощью поисковой системы в киберпространстве и проанализировав различные серверы, чтобы выявить распространенные методы атаки, связи с группами программ-вымогателей, схемы работы и многое другое. использование хакерской группой, базирующейся в основном в Великобритании, специфических методов загрузки вредоносного кода.
-----

Эта статья посвящена отслеживанию сетевых ресурсов C2 хакерской группы на основе IP-адреса C2 и связанной с ним информации о файлах, размещенных на платформе Twitter. Исследователи использовали поисковую систему ZoomEye в киберпространстве, чтобы расширить свое исследование и обнаружить больше ресурсов C2, связанных с хакерской группой. Анализируя троянские программы, обнаруженные на этих серверах C2, исследователи стремились выявить общие методы атаки и уникальные характеристики группы.

Первоначальным ориентиром, предоставленным 8 сентября 2024 года, был IP-адрес C2, идентифицированный как 89.197.154.116. Используя платформу ZoomEye, исследователи исследовали этот IP-адрес, который был расположен в Лондоне, Великобритания, с открытыми портами 80 и 3000, предлагающими услуги HTTP. После проведения анализа сетевого поведения файлов сервера было обнаружено, что большинство файлов были троянскими файлами C2 (CobaltStrike), недавно отправленными на анализ вредоносных программ. Кроме того, исследователи отметили, что 12 сентября 2024 года хакерская группа обновила пять файлов, что указывает на активные атаки. Коммуникационный порт C2 на этом сервере был идентифицирован как порт 7810.

Дальнейший анализ файлов сервера показал, что "lazagne.exe" использовался для получения сохраненных паролей, в то время как "AvosLocker.exe" был связан с организацией-вымогателем AvosLocker. Эта новая группа программ-вымогателей появилась в 2021 году, о чем подробно говорится в отчете Национального центра реагирования на чрезвычайные ситуации в области безопасности критической инфраструктуры. Программа-вымогатель AvosLocker была подключена к серверу с IP-адресом 89.197.154.116, что указывает на возможную связь между хакерской группой и этим объектом-вымогателем.

Расширив свое исследование, исследователи обнаружили 17 результатов, все из которых были получены в Соединенном Королевстве. Были подробно проанализированы два IP-адреса, а именно "89.197.154.115" и "193.117.208.148". Было отмечено, что сервер с IP-адресом 193.117.208.148 (именуемый "IP-адрес B") имеет сходства в коммуникационном порту C2, именах файлов и режиме работы с ранее исследованным сервером с IP-адресом 89.197.154.116.

Был проанализирован другой сервер с IP-адресом 193.117.208.101 (именуемый "IP-адрес D"), который продемонстрировал различия в именах файлов по сравнению с предыдущими серверами. Однако файл с именем "Cloudshare.vbs" на этом сервере имел сходство с файлом, найденным на сервере по IP-адресу 89.197.154.116. Поведение определенных файлов на этом сервере указывало на попытки подключения к серверу злоумышленника. Кроме того, исследователи заметили, что количество коммуникационных портов C2 на этих ресурсах было сосредоточено в диапазоне от 7000 до 8000, что позволило лучше понять принципы работы группы.

Проведя анализ, исследователи пришли к выводу, что хакерская группа в основном использовала трояны CobaltStrike и Metasploit, не имея возможности самостоятельно разрабатывать системы C2. Серверы C2 группы, по-видимому, были сосредоточены в Великобритании, а их активные и часто обновляемые ресурсы указывали на постоянную вредоносную деятельность. Кроме того, хакерская группа проявила тенденцию использовать различные методы загрузки вредоносного кода, включая HTA, PowerShell, VBS, а также тактику обмана, чтобы заманить цели к выполнению вредоносных программ.

#ParsedReport #CompletenessHigh
21-10-2024

Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group

https://www.group-ib.com/blog/cicada3301

Report completeness: High

Threats:
Cicada_ransomware
Shadow_copies_delete_technique
Lockbit
Qilin_ransomware
Ransomexx
Blackcat
Luna
Teamviewer_tool

Industry:
Healthcare

Geo:
Pol, Russian, Usa, United kingdom

TTPs:

IOCs:
Url: 1
Command: 3
File: 8
Path: 5
Registry: 1
Hash: 4

Soft:
ESXi, PSExec, Hyper-V, Ubuntu, Debian, SELinux, Unix, HyperV, macOS, bcdedit, have more...

Algorithms:
chacha20

Functions:
Company

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, ocautoupds, ocomm, ocssd, powerpnt, have more...

Languages:
powershell, rust

Platforms:
arm, x86, x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление группы программ-вымогателей Cicada3301, предлагающей услуги, подчеркивается ее агрессивная тактика, расширенные возможности и широкий охват в отношении критически важных организаций в США и Великобритании. В нем описывается разработка программы-вымогателя в Rust, поддержка нескольких платформ, сложная партнерская программа, методы шифрования, операционная система, постоянные усовершенствования и сложные функциональные возможности. Анализ подчеркивает огромную угрозу, которую представляет эта группа для организаций, и необходимость усиления защиты от возникающих киберугроз.
-----

Группа программ-вымогателей Cicada3301 была обнаружена в июне 2024 года и нацелена на критически важные организации в США и Великобритании, используя агрессивную тактику для достижения максимального эффекта.

Программа-вымогатель, разработанная в Rust, поддерживает множество платформ, таких как Windows, Linux, ESXi и PowerPC, и может похвастаться сложными методами шифрования, такими как ChaCha20 и RSA, для настройки режимов шифрования файлов.

Группа работает через специальный сайт для утечек информации и веб-панель, предлагающую такие функции, как поддержка в чате, учетные записи дочерних компаний и настраиваемые уведомления о выкупе, а защита личных ключей поддерживается с помощью API, таких как Tox.

Постоянные обновления программы-вымогателя на панели партнеров включают такие усовершенствования, как режим работы с червями для Windows, возможности колл-центра и оптимизированные процессы шифрования, и все это в рамках структурированной операционной системы для партнеров.

Архитектура программы-вымогателя поддерживает системы x86, ARM и PowerPC, обеспечивая кроссплатформенную совместимость Rust и демонстрируя сложные функциональные возможности, такие как интеграция с PsExec и управление виртуальными машинами в ESXi.

Заслуживающие внимания параллели с программой-вымогателем BlackCat указывают на сходство в работе и схемах шифрования, что вносит свой вклад в сложную картину угроз, создаваемых Cicada3301.

Технические характеристики программы-вымогателя включают в себя такие действия, как отключение запуска среды восстановления Windows, очистка журналов событий, поддержка архитектуры PowerPC и использование расширенных функциональных возможностей, таких как одновременное шифрование файлов и объединение потоков для быстрой обработки.

#ParsedReport #CompletenessMedium
21-10-2024

Analysis of WebDAV actions of APT-C-08 (Manlinghua) organization

https://www.ctfiot.com/211062.html

Report completeness: Medium

Actors/Campaigns:
Bitter

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Education, Military, Government

Geo:
Asian, Asia

ChatGPT TTPs:
do not use without manual check
T1566, T1203, T1105, T1053, T1071, T1005

IOCs:
File: 3
Hash: 7
IP: 2
Url: 7

Soft:
Windows search, WeChat

Languages:
powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-C-08, также известная как Manlinghua, является организацией APT, связанной с правительством Южной Азии, известной проведением атак APT в Южной Азии. В тексте подробно описываются их недавние фишинговые атаки с использованием файлов searchconnector-ms и описываются их методы атаки, направленные на получение удаленного доступа к целевым системам. В нем также рассказывается об усилиях 360 Advanced Threat Research Institute по обнаружению и изучению передовых угроз, исходящих от APT-организаций, таких как Manlinghua.
-----

APT-C-08, или Manlinghua, - это организация APT, связанная с правительством Южной Азии, которая проводит атаки APT в Южной Азии, нацеленные на правительственные учреждения, военную промышленность, университеты и зарубежные организации.

Недавно выявленные Manlinghua фишинговые атаки были связаны с вредоносными файлами searchconnector-ms, спрятанными в сжатых вложениях электронной почты.

Файл searchconnector-ms инициирует атаку, что приводит к развертыванию полезной нагрузки для удаленной атаки через службу WebDAV в виде вредоносных файлов LNK или CHM.

Manlinghua изменила свою тактику, отправив файлы с возможностями удаленного доступа, такими как searchconnector-ms или файлы с расширением .url, вместо сжатых пакетов с файлами LNK.

Связь с соответствующими серверами управления (C&C) должна быть проверена на предмет возможного компрометации.

360 Advanced Threat Research Institute известен тем, что обнаруживает атаки нулевого дня и действия APT, повышая общую безопасность сети.

#ParsedReport #CompletenessMedium
21-10-2024

Analysis of the attack activities of the APT-C-35 organization against a manufacturing company in South Asia. 1. Analysis of attack activities. 1. Analysis of attack activities

https://mp.weixin.qq.com/s/qCcuU0E6d84tdQ1r2dCsjA

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Double_kill_vuln
Double_star_vuln

Victims:
Shibli electrics limited

Industry:
Government, Energy

Geo:
Pakistan, Pakistani, Asia

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1203, T1027, T1562, T1140, T1105, T1547

IOCs:
Domain: 1
Hash: 7
File: 5
Registry: 1

Algorithms:
md5, xor

Functions:
IntegrateCheck

Win API:
CryptEnumOIDInfo, LoadLibrary

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ недавней кибератаки, проведенной организацией APT-C-35 (также известной как Donot) против целей в Пакистане. Атака была связана с использованием вредоносных документов, уязвимостей и сложных методов, таких как выполнение многослойного шелл-кода и внедрение шаблонов, для кражи секретной информации. В анализе освещаются тактика, методы и процедуры APT-C-35, их история нападений на правительственные учреждения в Южной Азии, а также продолжающаяся эволюция и усложнение их киберопераций. Исследование было проведено Институтом перспективных исследований угроз 360, который специализируется на выявлении и устранении передовых киберугроз по всему миру и направлен на повышение осведомленности об угрозах, исходящих от таких организаций, как APT-C-35.
-----

В тексте обсуждается недавняя кибератака, проведенная группой, известной как APT-C-35 (организация Donot), против объектов в Пакистане. Атака была связана с использованием вредоносных документов и уязвимостей для загрузки новых компонентов .NET-атаки для секретных операций по краже. В ходе атаки использовались два основных метода: использование файлов-приманки с макросами для выполнения многоуровневого шелл-кода и загрузки вредоносных библиотек DLL, а также внедрение шаблонов для загрузки документов в формате RTF, содержащих уязвимости, которые запускают выпуск вредоносных библиотек DLL.

В одном случае был проанализирован макрос-образец, замаскированный под документ SOP, относящийся к бухгалтерскому учету пакистанской компании Shibli Electrics Limited. Этот макрос-образец включал этап проверки пароля перед выполнением ключевых функций, что указывает на потенциальный обход механизмов обнаружения в изолированной среде. За тот же период был обнаружен еще один набор вредоносных макродокументов, в которых отсутствовала проверка пароля. В этих документах для последующей загрузки библиотек DLL использовался другой шелл-код, основанный на системной архитектуре, с использованием шифрования, чтобы избежать обнаружения антивирусом. Шеллкод выполнял операции отрицания и исключения для самостоятельной расшифровки, динамически получал адреса функций API и извлекал URL-адреса для загрузки замаскированных файлов и вредоносной полезной нагрузки.

Было обнаружено, что активность атаки соответствует типичным тактикам, методам и процедурам (TTP) организации APT-C-35, включая сходство в процессах выполнения макрокода, использование определенных путей к файлам, таких как "%Roaming%\wingui.dll ," и последовательное восстановление первых 4 байт в библиотеках DLL, загруженных с помощью samples. Организация продемонстрировала тенденцию к постоянному обновлению и совершенствованию функциональных возможностей вредоносного кода, демонстрируя модульность своей работы. Атака была приписана организации APT-C-35 (Thinworm), которая с 2016 года проводит кибератаки против правительственных учреждений в Южной Азии, причем в последнее время частота и изощренность атак возросли.

Анализ был проведен 360 Advanced Threat Research Institute, специализированным подразделением 360 Government and Enterprise Security Group, в состав которого входят ведущие эксперты по безопасности. Институт специализируется на обнаружении, защите от киберугроз, смягчении их последствий и исследовании современных киберугроз по всему миру. У него есть опыт обнаружения и раскрытия значительных атак нулевого дня и деятельности организаций APT, что способствует усилиям по обеспечению национальной сетевой безопасности. Этот общий ответ направлен на повышение осведомленности о меняющемся ландшафте угроз, создаваемых такими организациями, как APT-C-35, и их постоянной атаке на конфиденциальную информацию в различных секторах.

#ParsedReport #CompletenessMedium
21-10-2024

Unmasking Lumma Stealer : Analyzing Deceptive Tactics with Fake CAPTCHA

https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

Report completeness: Medium

Threats:
Lumma_stealer
Polyglot
Process_hollowing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 3

IOCs:
File: 10
Domain: 9
Hash: 14
IP: 2

Algorithms:
base64, zip, aes, cbc

Languages:
autoit, javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5, windows: 4, table: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается угроза, исходящая от Lumma Stealer, вредоносного ПО для кражи информации, работающего как вредоносное ПО как услуга (MaaS), которое специализируется на краже конфиденциальных данных, таких как пароли и информация о криптовалютах. Вредоносная программа использует сложные методы доставки, включая поддельные страницы с капчей и многоступенчатые методы без использования файлов, что повышает ее обманчивость и стойкость. Злоумышленники используют законное программное обеспечение, такое как mshta.exe, для распространения вредоносного ПО и используют различные тактики обхода, чтобы избежать обнаружения. В анализе подчеркивается важность раннего обнаружения и демонстрируется, как Qualys EDR эффективно перехватывает и останавливает атаки вредоносных программ без использования файлов. В целом, меняющийся ландшафт угроз Lumma Stealer представляет серьезную проблему для специалистов в области кибербезопасности из-за его адаптивности и постоянного характера.
-----

Lumma Stealer - это развивающаяся вредоносная программа как услуга, специализирующаяся на краже конфиденциальной информации, такой как пароли, данные браузера и данные криптовалютного кошелька.

Злоумышленник, стоящий за Lumma Stealer, перешел от традиционного фишинга к более обманным методам распространения вредоносного ПО, таким как поддельная проверка с помощью CAPTCHA.

Злоумышленники создают фишинговые веб-сайты, используя сети доставки контента, используя эксплойты или социальную инженерию для распространения вредоносного ПО.

Вредоносная программа использует многоэтапные методы без использования файлов с использованием поддельных страниц с капчей, чтобы обмануть пользователей и инициировать загрузку полезной нагрузки.

Цепочка атак включает в себя запуск команд PowerShell через поддельные сайты с капчей, что приводит к загрузке начального этапа в целевую систему.

Вредоносная программа использует mshta.exe для удаленной загрузки полезных данных и манипулирует PE-файлами, такими как "Dialer.exe", с помощью запутанного кода JavaScript, используя методы многоязычия для уклонения.

Скрипт PowerShell в коде JavaScript расшифровывает полезную нагрузку, зашифрованную AES, и в конечном итоге устанавливает Lumma Stealer после извлечения содержимого из библиотек DLL.

Lumma Stealer выполняет поиск конфиденциальных файлов, связанных с криптовалютой, и паролей, взаимодействует с серверами C2 в домене верхнего уровня ".shop" и использует CDN для доставки полезной информации.

Qualys EDR эффективно перехватывает атаки вредоносных программ без использования файлов перед выполнением, подчеркивая важность раннего обнаружения для предотвращения утечки данных.

Меняющийся характер угрозы Lumma Stealer, использующей такие распространенные инструменты, как PowerShell и тактика уклонения, представляет серьезную проблему для специалистов в области кибербезопасности.

#ParsedReport #CompletenessLow
13-10-2024

Update on SVR Cyber Operations and Vulnerability Exploitation

https://media.defense.gov/2024/Oct/09/2003562611/-1/-1/0/CSA-UPDATE-ON-SVR-CYBER-OPS.PDF

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Password_spray_technique
Supply_chain_technique
Spear-phishing_technique
Mitm_technique
Residential_proxy_technique

Industry:
Energy, Ngo, Government, Financial, Software_development

Geo:
Asia, United kingdom, America, Ukraine, Russian, Russia, American, Russian federation

CVEs:
CVE-2022-40507 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qualcomm 315 5g iot modem firmware (-)

CVE-2023-37580 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zimbra (<8.8.15)

CVE-2023-5044 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kubernetes ingress-nginx (<1.9.0)

have more...


TTPs:

Soft:
JetBrains TeamCity, Microsoft Teams, Zimbra, Android, Microsoft Exchange Server, Google Chrome, Apache Tapestry, SharePoint Server, Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это совместная рекомендация по кибербезопасности, подготовленная несколькими агентствами и освещающая тактику и деятельность Службы внешней разведки Российской Федерации (СВР), также известной как APT29, направленная на различные сектора с акцентом на поддержку вторжения России в Украину. В рекомендациях подчеркивается важность понимания тактики SVR, своевременного внедрения исправлений и упреждающих мер кибербезопасности для защиты от этих сложных киберугроз.
-----

ФБР, АНБ, CNMF и NCSC-UK опубликовали совместное руководство по кибербезопасности в отношении киберугроз СВР.

СВР, также известная как APT29, Cozy Bear и the Dukes, нацелена на оборонный, технологический и финансовый секторы как минимум с 2021 года, поддерживая вторжение России в Украину с февраля 2022 года.

Киберпреступники СВР используют уязвимости программного обеспечения для первоначального доступа и повышения привилегий, подчеркивая важность быстрого внедрения исправлений.

СВР использует такие тактики, как скрытый поиск, разбазаривание паролей, злоупотребление цепочками поставок и социальная инженерия, чтобы воздействовать на государственные структуры, технологические компании и организации по всему миру.

СВР проводит массовое сканирование систем, подключенных к Интернету, с целью использования уязвимой инфраструктуры и поддержания анонимности с помощью TOR, поддельных удостоверений личности и учетных записей электронной почты с низкой репутацией.

Конкретные уязвимости, используемые SVR, включают CVE-2022-27924 в Zimbra и CVE-2023-42793 в JetBrains TeamCity.

Организациям рекомендуется применять исправления для системы безопасности, усиливать контроль доступа и тщательно проверять устройства для защиты от киберугроз SVR.

#ParsedReport #CompletenessMedium
22-10-2024

Attackers Target Exposed Docker Remote API Servers With perfctl Malware. Summary

https://www.trendmicro.com/en_us/research/24/j/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html

Report completeness: Medium

Threats:
Perfctl

Victims:
Docker remote api servers

TTPs:
Tactics: 7
Technics: 10

IOCs:
IP: 3
Url: 3
Hash: 2

Soft:
Docker, ubuntu, Unix, Systemd, curl

Algorithms:
base64

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 16